Администрация офис ActiveX инсталатора на Windows Vista - членове Directory - Член на Windows Vista
Той винаги е една и съща история. За значително подобряване на безопасността, трябва да се откажат от някои свобода или гъвкавост. Ако обкръжението ви е същата, както в повечето организации, ти е необходимо да се засили защитата на системите за настолна операционна станция за по-сигурна работа
среда за крайните си потребители. Обичайната подход на ИТ администраторите на проблема за безопасността на работната среда е да се използва комбинация от настройки за защита на политиката, разрешения за потребители за контрол на достъпа (ACL списъци) за файлове и системния регистър, както и ограничения за обслужване на системата.
Често срещан проблем на разработване на безопасни условия на труд е да смекчи заплахи от злонамерен контроли ActiveX® като същевременно се гарантира подходящо ниво на съвместимост на приложенията във вашата среда. Това е проблем на настолни операционни системи в продължение на много години. За щастие, новият Installer Service ActiveX (ос) в Windows Vista ™ решава въпросите за управление на контрола на ActiveX в корпоративни среди. Ос предоставя прост и лесно управляем начин потребителите да инсталират ActiveX контроли с одобрените уеб сайтове, докато обикновено тези потребители такава инсталация не е позволено. управление на ос посредством правилата Група позволява на ИТ администраторите да се определи кой контролира потребителите могат да инсталират, независимо от техните разрешения.
В тази статия ще обсъдим въпроса за управление на ActiveX контроли, решението на тези проблеми в по-ранните версии на Windows®, както и осигуряването на Windows Vista, уникален и ефективен начин за управление на инсталирането на ActiveX контроли с помощта на ос.
Какво е контрол ActiveX?
ActiveX контрол - част от изпълним код (обикновено във файла OCX опакован в CAB файл), инсталирате и стартирате на потребителя чрез браузъра Internet Explorer®. Уеб разработчиците създават ActiveX контроли, за да добавите към функциите, уеб приложение, което не може да бъде направено с помощта на стандартния HTML код или прост скрипт.
Фиг. 1 информация за определяне панел ActiveX контрол
Когато ActiveX контроли бяха въведени за първи път в Internet Explorer 4.0 браузър, Интернет изглеждаше по-приветливо място. Днес изпълним код разпределени по интернет, е сериозна заплаха, така че Windows позволява монтаж на ActiveX контроли само потребители с администраторски права при одобряване на инсталацията в съответствие с настройките за правилата. След инсталирането на ActiveX контрола администратор му може да изпълнява всеки потребител на системата. Този процес е опростена с помощта на набор ACL за файлове и системния регистър в Windows. Въпреки, че това не позволява инсталирането на ActiveX контроли са стандартен потребител, не водят до намаляване на риска от местната администрация и стандартен (с променени разрешения по подразбиране), за създаване контроли.
Въпреки че сигурността в Windows по подразбиране, за да се позволи монтиране само на потребители с права на администратор, установява контрол ActiveX контроли на индивидуално ниво, тя не осигурява начин за управление на голяма организация. Често срещан проблем на корпоративните медии е да се позволи използването на ActiveX контроли с доверието на ИТ организацията, като същевременно намали рисковете от ненадеждни външен контрол. В края на деня решение за конкретен ActiveX контрол, добро или лошо, често се оставя на отделния потребител в зависимост от своите права. За да се противодейства на заплахите, някои организации да блокират ActiveX контроли, докато други позволяват на крайните потребители да ги инсталирате, но се опитват да упражняват контрол инсталиран зловреден софтуер.
Друг начин да се предотврати инсталирането на зловредни контрол е да се ограничат правата на потребителите на стандарт и предварително инсталиране на всички необходими проверки на платформата на работния плот на ИТ администраторите. Този подход е ефективен, ако се използват ActiveX контроли са относително статични, се променят чрез процеса на планираното освобождаване поради актуализации, касаещи работната среда или ако организацията с помощта на такъв механизъм за разпространение на софтуер като сървър за управление на системи. Въпреки това, постоянно управление, непрекъснато променящите се нужди на вътрешните разработчиците на приложения, както и зависимостта от външни контроли продължават да бъдат проблеми на тези подходи.
В случай, че потребителят има администраторски права е друг проблем; това се крие във факта, че потребителите са инсталирали неодобрени контроли. В тези случаи, крайният потребител може да инсталира ActiveX контроли, тъй като се предполага, че потребителят има администраторски права. (Имайте предвид, че работата на крайните потребители като администратори на местните е висок риск за организацията и не се препоръчва за повечето корпоративни среди.)
Има и други решения, като например промяна URLActions на Internet Explorer зона да се уточни администраторски одобрен контрол чрез Group Policy, и блокира инсталирането на всички контроли в периметъра, използвайки правилата на защитната стена. Но както виждате, всички тези подходи имат свои собствени проблеми, а много от тях в крайна сметка не се използва поради липсата на гъвкавост. За да влошат нещата, някои от тези решения изискват потребителите да имате права на администратор. По този начин, тези промени решаване на част от проблема, например, контрол (или блокиране) контроли източника, от който може да се направи и др.; Въпреки това, тези решения не решават основния проблем не може да инсталира ActiveX контроли, потребители без права на администратор.
Какви възможности ос?
Фиг. 2 Event 4097 AxInstallService
Ос - е незадължителен компонент, включени във версия (SKU) на бизнеса, предприемачеството и Ultimate Windows Vista операционна система, която може да бъде активирана с помощта на автоматичната настройка, или от контролния панел (Програми | Програми и компоненти | разрешите или забраните на Windows компоненти) се диалогов прозорец, както е показано на фиг. 3. След като включите ос изпълнява горните стъпки за всяка заявка от Internet Explorer контрол.
Фиг. 3 Включване на оста на контролния панел
Фиг. 5 Одобрени компоненти ос система